Сомнений в том, что на каждом компьютере и в каждой сети должно быть установлено антивирусное ПО, нет ни у кого — слишком опасной стала жизнь в Сети, слишком часто то одна, то другая организация становятся жертвами Трояна или вируса — похитителя информации. Борцы за чистоту среды стараются, создают и выпускают новые и улучшенные версии антивирусного ПО. Но все ли они пригодны не только для «домашнего» применения?
На российском рынке средств информационной безопасности (ИБ) нет недостатка в антивирусных продуктах — мы насчитали не менее 10 платных пакетов ПО и программно-аппаратных средств и не менее 7 бесплатно распространяемых программ. По сути, их основные «антифункции» примерно одинаковы у всех производителей таких продуктов: поиск вирусов и Троянов, «отлов» сетевых червей и шпионов. Кроме того, уже несколько лет создатели антивирусного ПО оснащают его и средствами против спама, и так называемыми репутационными сервисами, когда доступ к опасному или потенциально опасному сайту либо блокируется, либо пользователя предупреждают об опасности. Стали привычными для этой категории продуктов и антифишинг, антиреклама, антибаннер, антихакер...
Особенности корпоративного применения
Но все эти «антифункции» и прочие изыски относительно хорошо работают на отдельном персональном компьютере (относительно, поскольку каждый знает, что одного антивируса для абсолютной защиты ПК недостаточно, но, увы, даже два таких продукта совместно не работают). Если же речь идет о сети предприятия (большого ли, малого ли), то кроме имманентных функций «поиска и отлова» антивирусное ПО должно обладать несколько иными по сути качествами, необходимыми программному продукту, работающему в корпоративной среде. Поскольку защищать в ней надо не только рабочую станцию (ПК), но и шлюзы, серверы и почтовые службы, находящиеся, порой, не на соседнем столе, а за много километров от центрального офиса.
Главная особенность корпоративного применения — необходимость хорошей управляемости продукта, т. е. возможность автоматически и в соответствии с политикой безопасности, принятой на предприятии, устанавливать функции и настройки продукта на множестве ПК и серверах, обновлять базы сигнатур, с которыми работает антивирусная программа, выявляя вредоносное ПО, а также обновлять само программное обеспечение.
Кроме того, продукт должен быть интегрируемым в существующую операционную среду, т. е. работать на имеющихся в компании компьютерах с установленными на них ОС, почтовыми системами и браузерами, не вызывая системных конфликтов с другим ПО или оборудованием.
Масштабируемость — возможность установить антивирус на другие компьютеры при расширении сети — еще одно важное качество. И уж, конечно, простота внедрения — сложная процедура установки никогда не привлекала сисадминов. Надежность работы ПО в целом и гарантии безопасности — свойства ценные, но, как известно, 100% гарантии «стерильности» среды не дает (да и не может дать) ни один из продуктов.
Еще одна исключительно важная функция — защита ПО от изменения настроек пользователем. Столь же необходима репутационная защита от Web- и спам-фильтрация. Web-репутация — важная часть стратегии защиты как конечных точек, так и шлюзов. Существенным преимуществом продукта считается использование этой функции без привязки к конкретному браузеру и даже к конкретному ПО, формирующему запрос в Интернет из конечной точки.
Персональный брандмауэр, который, к счастью, присутствует практически в любом популярном антивирусном пакете, тоже весьма востребован. Все эти качества нужны любым предприятиям. Но в зависимости от размера компании на первый план могут выходить и другие характеристики продукта.
Вопросы и ответы
Чтобы выяснить, насколько предлагаемые производителями продукты соответствуют их рекомендациям «для корпоративного применения», мы разослали 10 компаниям — производителям антивирусного ПО вопросы, с помощью которых попытались определить соответствие рекомендаций и реальных возможностей продукта. Из всего многообразия функций, которые описали респонденты, были выбраны наиболее общие для всех продуктов.
Прежде всего, нас интересовали различия между предложениями для SMB и крупных компаний. Мы сознательно не спрашивали диапазон цен на продукты для этих сегментов рынка, а попытались выяснить, учитывают ли производители более чем скромные финансовые возможности малых и средних компаний и если да, то как.
70% поставщиков обеспечивают возможность приобретения своего продукта за более низкую цену, но достигается это чаще всего либо сокращением функционала, либо за счет возможности покупки меньшего количества лицензий. Другой «источник» удешевления продукта — поддержка меньшего числа ОС и браузеров, это практикуют 40% компаний, а некоторые выпускают пакеты для SMB с поддержкой только одной ОС — Windows. Об упрощении интерфейса позаботились только 30% компаний, и столько же — об упрощении функций администрирования. В то же время 80% компаний-производителей считают простоту интерфейса одним из наиболее важных требований рынка SMB.
Теперь оценим, как, по данным самих же производителей, реализованы важные для корпоративных решений функции (см. табл. 1).
Табл. 1 Характеристики ПО, важные для корпоративного примениния.
Защита от изменений настроек пользователем присутствует во всех продуктах. Примерно у 70% настройки задаются централизованно, а только защита паролем с ограничением прав доступа присутствует у 20% продуктов, столько же в качестве дополнительной меры назвали «самозащиту ПО». Около 40% продуктов не используют для задания прав корпоративные политики безопасности.
Поддержку репутационного отбора подтвердили все компании, все предоставляют «черные» списки и базы опасных сайтов, обеспечивая предупреждения и блокировку работы с ними. Примерно 60% респондентов — для браузеров, отличных от Internet Explorer, поддерживая методы Web- и URL-фильтрации.
И наконец, наиболее важные для корпоратива функции управления и администрирования. Централизованное управление свойственно почти всем анализируемым продуктам, при этом только немногим более 20% не поддерживают управление на основе политик безопасности. Интеграцию со службами каталогов не обеспечивают 40% продуктов. Вместе с тем несколько более 35% предоставляют возможности удаленного администрирования и почти все — мониторинг удаленных событий и контроль носителей.
Среди вопросов был и такой: укажите уникальные функции вашего продукта. Оказалось (см. табл. 2), что большинство вендоров к уникальным относят многие жизненно необходимые для корпоративного рынка функции, такие, как блокировка USB-портов, поддержка нескольких ОС и СУБД, высокая скорость работы приложений при сканировании, защита от Интернет-угроз и др.
Табл. 2. Уникальные характеристики.
Вместе с тем некоторые функции действительно уникальны. Так, продукты Microsoft поддерживают пять антивирусных «движков», а ESET — шесть почтовых клиентов (обычно — не более трех), у Trend Micro задействованы целых три взаимосвязанных репутационных сервиса. Но наиболее уникальны для нашего SMB-рынка продукты компаний CheckPoint, Panda и Dr.Web. Продукт первой, который хоть и поставляется только с одним антивирусным «движком» — «Антивирус Касперского», — обладает унифицированным клиентом, объединяющим несколько компонентов: МСЭ, Program Control, AV, NAC, VPN и др. Все три названные компании, помимо ПО, предлагают для рынка SMB программно-аппаратные средства защиты, что дает им ряд преимуществ по быстродействию и способности «не мешать» работе основных бизнес-приложений, а также в части минимизации потребления и оптимизации ресурсов.
Куда направлен вектор развития?
Мы также спросили у респондентов — совмещать или не совмещать антивирусное ПО с другими средствами защиты, такими, как системы IPS (Intrusion Prevention System) и DLP (Data Leak Prevention), почтовые и контентные фильтры. Ответы нас почти не удивили (см. рис.1 и 2): две трети опрошенных считают, что антивирусный продукт должен иметь отдельные встроенные функции IPS, если не полнофункциональную IPS-систему. Относительно же DLP-систем мнения разделились почти поровну, но и это тоже естественно — системы весьма недешевы по цене и сложны (и в обслуживании в том числе) и требуют немалых вычислительных ресурсов.
Рис. 1. Нужно ли встраивать в антивирусы системы IPS/IDS?
Рис. 2. Нужно ли встраивать в антивирусы функции системы DLP?
Итак, похоже, что развитие антивирусных продуктов пойдет по пути постепенной интеграции «облегченных» функций других средств защиты, подобно тому, как они впитали в себя репутационный отбор и контентную фильтрацию, встроили почтовые фильтры и взяли на себя часть функций IPS (локальные системы предотвращения вторжений — Host Intrusion Prevention System, HISP — сегодня поддерживают почти 40% продуктов). На это указывает и то, что поддержку HISP считают скорее важной или очень важной для компаний любого масштаба не менее 40% респондентов. Но система DLP, вероятно, останется отдельным средством защиты (важность ее встраивания не отметил никто из респондентов).
Кто для рынка всех важнее
Мы попросили респондентов перечислить наиболее важные, по их мнению, «незащитные» функции для крупных компаний и фирм сегмента SMB, указав приоритетность характеристик в диапазоне
Рис. 3. Рейтинг наиболее важных функций для крупных компаний.
Рис. 4. Рейтинг наиболее важных функций для SMB.
Что касается набранных по приоритетам баллов, то для сегмента Enterprise лидером по величине приоритета и количеству компаний, указавших наивысшие значения, стало централизованное администрирование и гибкость управления (81 балл из 100 возможных).
Лидером среди характеристик для сегмента SMB стала отнюдь не цена продукта (как можно было ожидать), и даже не стоимость эксплуатации, а простота и интуитивность интерфейса — 82 балла. Второе и третье место заняли репутационный отбор и персональный брандмауэр, о поддержке которых сообщили практически все респонденты. Немного сторонников собрали HISP, скорость работы приложений при сканировании, совместимость с разными ОС и масштабируемость.
Поддержка пользователей
Кроме традиционной поддержки в виде обновления вирусных баз, бесплатное обновление ПО в течение действия лицензии поддерживают 30% из обследованных продуктов. 30% обеспечивают обновление репутационных баз, а Trend Micro — и глобальный репутационный сервис. Компания Panda заявила даже поддержку антиспамовых баз.
Вместе с тем техническая поддержка по вопросам работы продукта обеспечивается лишь по телефону (круглосуточно — только две компании, Dr.Web и «Лаборатория Касперского»), однако при заключении договора на VIP-поддержку выделенный специалист выезжает «на дом» (у половины респондентов). Правда, «Лаборатория Касперского» намерена заключать с компанией-клиентом договор о поддержке с обеспечением Service Level Agreement, который будет включать предельное время решения проблемы защиты и даже написание специальной лечащей утилиты.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.